mame tarafından 01.10.2019 tarihinde gönderildi
Çeviri: İsmail Arılık
Ruby ile paketlenmiş WEBrick’te bir HTTP yanıtı ayırma güvenlik açığı vardır. Bu güvenlik açığı CVE-2019-16254‘e atanmıştır.
Ayrıntılar
Eğer WEBrick kullanan bir program, yanıt başlığına güvenilmeyen bir girdi eklerse, bir saldırgan bir başlığı ayırmak için bir yeni satır karakteri eklemek için bunu kullanabilir, böylece istemcileri kandırmak için zararlı içerik ekleyebilir.
Bu açık CVE-2017-17742 ile aynıdır. Önceki düzeltme tam değildi, sadece CRLF vektörü içindi, fakat soyutlanmış bir CR ya da LF’yi kapsamıyordu.
Etkilenen bir sürümü koşan tüm kullanıcılar en kısa zamanda yükseltme yapmalıdır.
Etkilenen Sürümler
- Ruby 2.3 ve öncesindeki tüm sürümler
- Ruby 2.4 serisi: Ruby 2.4.7 ve öncesi
- Ruby 2.5 serisi: Ruby 2.5.6 ve öncesi
- Ruby 2.6 serisi: Ruby 2.6.4 ve öncesi
- Ruby 2.7.0-preview1
- 3ce238b5f9795581eb84114dcfbdf4aa086bfecc master işlemesinden öncesi
Teşekkür
Bu güvenlik açığını keşfettiği için znz‘ye teşekkür ederiz.
Geçmiş
- İlk olarak 2019-10-01 11:00:00 (UTC) tarihinde yayınlandı.